Considerati i gravi rischi finanziari e reputazionali legati a incidenti in grado di bloccare le attività, le organizzazioni devono dare priorità a una strategia di cybersecurity prevention-first. Gli attaccanti sono in piena attività. Hanno ottimizzato le proprie supply chain, le loro fila crescono grazie a servizi preconfezionati che abbassano le barriere di ingresso per i criminali informatici alle prime armi, e sfruttano strumenti di AI generativa per aumentare l’efficacia di social engineering, attività di ricognizione, sfruttamento di vulnerabilità e molto altro. Tutto ciò rende più semplice che mai lanciare campagne: sono più veloci, organizzati e difficili da fermare. Sul fronte opposto, i team di sicurezza si trovano sotto pressione: la carenza cronica di competenze e l’ampliarsi delle superfici d’attacco li mettono in difficoltà. Molti ammettono che, in parte, le violazioni sono inevitabili. Ma reagire con la rapidità necessaria per bloccare gli avversari prima che provochino danni è spesso oltre le loro possibilità. Di conseguenza, il managed detection and response (MDR) è diventato una delle principali priorità per molti responsabili IT.
Perché l’interruzione è dannosa
La rivoluzione digitale ha trasformato il modo di operare della maggior parte delle organizzazioni: processi più efficienti, migliore collaborazione, decisioni più rapide e meno attività soggette a errori. E il trend prosegue, anche grazie all’AI generativa. Uno studio del 2024 rileva che la Gen AI può aumentare la produttività dei programmatori del 26%.
Ma a una maggiore dipendenza dall’IT corrisponde una maggiore esposizione agli attacchi. I più gravi, spesso legati a furto di dati e/o estorsione, causano pesanti interruzioni. Il ransomware è l’esempio più evidente: cifrando i dati critici, gli attaccanti fermano di fatto le operazioni dell’organizzazione colpita.
Anche senza riuscire a criptare tutto, spesso il team IT è costretto a bloccare i sistemi per contenere la minaccia. Segue quindi un lungo processo di bonifica, ricostruzione, test e ripristino dei servizi, che può durare giorni, settimane o persino mesi.
In sintesi, una violazione grave può interrompere vendite online e servizi al cliente, processi produttivi, la produttività complessiva dei dipendenti e persino intere supply chain. Secondo l’IBM Cost of a Data Breach Report 2025, l’86% delle organizzazioni colpite da un data breach nell’ultimo anno ha subito questo tipo di interruzione operativa.
L’impatto del downtime
Il furto di dati attira i titoli nei giornali, ma anche il downtime operativo infligge ferite profonde e costi ingenti. Bisogna considerare perdite di vendite e produttività, spese legali e di notifica, oltre agli elevati costi di ripristino. L’NHS britannico, ad esempio, ha stimato che il 78% delle perdite pari a 92 milioni di sterline (124 milioni di dollari) causate dalla campagna WannaCry (WannaCryptor) era dovuto al supporto IT per il ripristino di dati e sistemi.
Ancora più difficile da quantificare è il danno reputazionale derivante da un blocco prolungato. Se i clienti si rivolgono a un concorrente, l’organizzazione deve affrontare sia la perdita di quelle vendite, sia i costi di acquisizione di nuovi clienti. Un grave attacco ransomware che ha colpito Marks & Spencer all’inizio dell’anno potrebbe costare all’azienda 300 milioni di sterline (403 milioni di dollari) in profitti operativi persi e disservizi online. Resta però da capire se comporterà anche un calo prolungato delle vendite.
MDR alla velocità necessaria
Tutto questo spiega perché l’MDR sia sempre più considerato un pilastro delle moderne strategie di gestione del rischio, a tutela di ricavi, reputazione e continuità operativa. La rapidità di rilevamento, contenimento e risposta non è mai stata così importante. Come sottolinea IBM, più breve è il ciclo di vita di una violazione,
minori sono i danni causati dagli attaccanti (sia in termini di ransomware che di furto dati), e quindi più contenuto è il costo finale.
Costruire una resilienza proattiva La velocità di risposta non è l’unico fattore che distingue i servizi MDR di fascia alta. Altri elementi fondamentali includono il monitoraggio 24/7, indispensabile per bloccare gli attaccanti ovunque si trovino. Non di rado, infatti, gli avversari colpiscono durante festività o weekend per cogliere di sorpresa i team interni: sia l’attacco a M&S sia quello alla Co-op sono iniziati durante il lungo weekend di Pasqua nel Regno Unito.
Poiché gli attaccanti cercano costantemente nuove modalità di intrusione senza destare sospetti, le funzionalità di threat hunting diventano cruciali. Ricercando proattivamente minacce che potrebbero non aver generato alert, i team MDR impediscono agli avversari di guadagnare terreno.
IBM calcola che il threat hunting possa ridurre di oltre 193.000 dollari il costo medio di una violazione. Un’efficace threat intelligence, spesso utilizzata dai team di threat hunting per comprendere meglio i comportamenti degli avversari, potrebbe far risparmiare ancora di più (212.000 dollari). La prospettiva di ransomware e altri malware potenziati dall’AI generativa rende indispensabile una strategia di sicurezza proattiva e adattiva.
I servizi MDR di qualità automatizzano anche monitoraggio e reportistica per migliorare la compliance e rafforzare la cyber-resilience, raccogliendo inoltre informazioni utili a prevenire violazioni future. I dati forensi, ad esempio, possono alimentare le soluzioni di vulnerability e patch management, contribuendo a costruire una resilienza a lungo termine. La velocità è cruciale, poiché spesso gli attaccanti cercano di colpire più volte la stessa organizzazione.
La sicurezza prevention-first parte da qui
L’interruzione delle attività può rappresentare un problema esistenziale per alcune realtà. Alcune vittime di ransomware, come la società di cambio valuta Travelex, sono finite in amministrazione controllata dopo gravi incidenti, mentre altre – tra cui National Public Data e KNP – sono state costrette a chiudere definitivamente. Fortunatamente, casi simili restano relativamente rari, ma evidenziano chiaramente cosa c’è in gioco. L’MDR può ridurre sensibilmente le probabilità che ciò accada e deve essere visto come un investimento nella continuità operativa.
In definitiva, la miglior difesa è una strategia olistica che includa misure di sicurezza consolidate come endpoint ed extended detection and response, patch management, identity management e altre, integrate con l’esperienza di un team di professionisti della cybersecurity. Non tutti i servizi MDR sono uguali, ed è quindi fondamentale scegliere con attenzione.
A cura di Samuele Zaniboni, Manager of Sales Engineering di ESET Italia
